登録会員限定記事 現在はどなたでも閲覧可能です
ベンダーのこうした差が自治体サイトの安全性の差に直結していると、前述の関係者は指摘する。国の府省庁に至っては府省庁の発注者が大手ベンダーに明確な指示を出さない限り、大手ベンダーは常時SSL/TLSを導入してこなかったのではないかという指摘もある。
「米国政府に2年遅れ」が暗示する未来
翻ってグーグルはなぜHTTPSによって暗号化していないサイトをChromeで「保護されていません」と表示するようにしたのか。同社はWebマスター向け公式ブログで2018年9月から「保護された通信」の表示をなくす方針を明らかにしている。最終的にはサイトが安全でない場合にのみChromeブラウザーでマークを表示して、デフォルトのマークのない状態は安全だと分かるようにすると表明している。
常時SSL/TLSの導入はグーグルなどブラウザーベンダーによって半ば強引に推し進められている面があるが、実はそれだけではない。Webサイトの電子証明書を巡る海外動向に詳しいGMOグローバルサインの稲葉厚志ビジネスプロデューサーによると、転機は2015年6月8日だったという。米連邦政府の最高情報責任者(CIO)が連邦政府の全てのWebサイトやサービスに対して「HTTPS-Only Standard」に従うよう求める覚書に署名したと発表した日である。
この覚書によって米政府機関は2016年末までに全てのWebサイトなどをHTTPS通信に置き換える必要に迫られた。つまり日本の行政機関は米国政府に比べて実に約2年遅れで常時SSL/TLSの導入に舵を切ったのだ。
それまで通信の暗号化はWebサイトの中で必要なWebページだけに使われていた。現在はアクセス先やコンテンツを含む通信内容が平文で流れる危険性や通信内容を改ざんされる恐れが指摘されている。
第三者が通信途中で取得して改ざんする行為はサイト自体に不正アクセスして情報を書き換える行為よりも発覚しにくいとされる。TLSは通信内容を暗号化して通信内容の改ざんを検知して、第三者が発行した電子証明書によってWebサイトが他人のなりすましではなく本物であることを保証する。
問題は常時SSL/TLSが従来の情報セキュリティの考え方とはやや異なる観点で迫られている点だ。情報セキュリティ対策は多くの場合、自らのシステムを守るために取り組む。しかし常時SSL/TLSなどは「取引先や顧客のためにやらなければならない」(JIPDECの大泰司章インターネットトラストセンター企画室長)。自らを守る情報セキュリティにとどまらず、ユーザーの信頼を得るトラストの確保が目的になるからだ。
常時SSL/TLSはグーグルなどのブラウザーベンダーによる警告に後押しされる格好で広まりそうだ。しかしトラストの確保はIoTやAIなどのIT全般でも欠かせない。トラストの枠組みをどう構築するかは既に世界で事実上の競争が始まっていると考える。このままでは日本はITサービスの開発そのものだけでなく、トラストの構築でも世界にリードされる立場に陥りかねない。近い将来に赤い文字で警告されるだけにとどまらず、Webサイトへのアクセスすらできなくなる恐れもあるのではないか。
